Apache-website offline door malware
Gepubliceerd: Maandag 31 augustus 2009
Auteur: Sander van der Meijs
Apache.org ging vrijdag offline omdat hackers er scripts op hadden geplaatst. Volgens Apache zijn er geen eindgebruikers slachtoffer geworden van deze malware.
Dat heeft het Apache Infrastructure Team laten weten in een blogpost. Op donderdagavond gebruikten de aanvallers een account voor geautomatiseerde backups voor de ApacheCon-website om bestanden te uploaden naar minotaur.apache.org. De Minotaur-server dient als host voor de meeste apache.org-websites en levert bovendien shell accounts voor alle Apache committers. Voor het uploaden werden SSH key authentication-sleutels voor deze host gebruikt. Hoe de aanvallers aan die sleutels zijn gekomen, is nog niet bekend.
Scripts
De aanvallers hebben verschillende files, waaronder een aantal SGI-scripts, in de directory gezet waarin ook bestanden staan van www.apache.org. Vervolgens zijn deze files automatisch gesynchroniseerd naar de productiewebservers. Vrijdagochtend werden de scripts door de aanvallers aangeroepen, wat drie kwartier later werd opgemerkt. Nog eens tien minuten later werden de servers offline gehaald.
Na het eerste onderzoek is DNS voor de meeste apache.org services veranderd naar eris.apache.org, een machine die niet was aangetast. Door die DNS-omleiding kon er tenminste netjes worden medegedeeld dat de services down waren. Die mededeling is nog te zien op het blog van Trend Micro-werknemer Rick Ferguson, die de hack breder bekend maakte.
De Europese failover- en backup-machine aurora.apache.org bleek ook niet aangetast. Er waren wel files naar die server gekopieerd, maar die waren niet uitgevoerd. Aurora kon dan ook snel weer online worden gebracht. Een aantal machines van Apache blijft nog even offline, maar de meeste publieke websites zijn weer bereikbaar.
Downloads controleren
Volgens het Infrastructure Team zijn de aanvallers er niet in geslaagd om meer rechten te verkrijgen op de machines. Hoewel ze geen aanwijzingen hebben dat er downloads aangetast zijn, raden ze wel aan om de handtekeningen voor de downloads goed te controleren. Het onderzoek is nog niet afgerond, dus er kan nog meer aan het licht komen. Een inbraak op de server van Squirrelmail bleek later ook meer gevolgen te hebben dan aanvankelijk werd aangenomen.
Bron: Techworld.nl.
